APT34 webshell names..If you see these in your proxy logs and PCR (Producer/Consumer Ratio) is near 1 or -1 then you should investigate further
Count of compromised known compromised websites, webshell file name
12 error1.aspx 8 signin.aspx 7 logout.aspx 7 error3.aspx 5 signout.aspx 4 logon.aspx 3 RedirSuiteService.aspx 3 getidtoken.aspx 3 EventClass.aspx 2 petrol.aspx 2 owaauth.aspx 2 outlookdn.aspx 2 outlook.aspx 2 login.aspx 2 getidtokens.aspx 2 errorff.aspx 2 error0.aspx 1 WrkStatLog.aspx 1 WrkSetlan.aspx 1 workpage.aspx 1 webform.aspx 1 viewpercthesaurus.aspx 1 tofollowup.aspx 1 Timeoutctl.aspx 1 timeout.aspx 1 tax.aspx 1 statistic.aspx 1 signproces.aspx 1 signon.aspx 1 ShowContents.aspx 1 resources.aspx 1 RegStructures.aspx 1 redirSuite.aspx 1 redireservice.aspx 1 RedirectCache.aspx 1 redirectcache.aspx 1 Redirect.aspx 1 QualityControl.aspx 1 owalogin.aspx 1 outlooktoken.aspx 1 outlookservice.aspx 1 outlooklogonservice.aspx 1 outlooklogon.aspx 1 outlookfilles.aspx 1 OutlookCName.aspx 1 MSGTypesValid.aspx 1 moveresults.aspx 1 logontimeout.aspx 1 logoff.aspx 1 jquery.aspx 1 index.aspx 1 handlerservice.aspx 1 global.aspx 1 GetTokenId.aspx 1 gettokenid.aspx 1 GetLoginToken.aspx 1 exppw.aspx 1 explainedit.aspx 1 expirepw.aspx 1 espw.aspx 1 erroref.aspx
Count of compromised known compromised websites, webshell file name
12 error1.aspx 8 signin.aspx 7 logout.aspx 7 error3.aspx 5 signout.aspx 4 logon.aspx 3 RedirSuiteService.aspx 3 getidtoken.aspx 3 EventClass.aspx 2 petrol.aspx 2 owaauth.aspx 2 outlookdn.aspx 2 outlook.aspx 2 login.aspx 2 getidtokens.aspx 2 errorff.aspx 2 error0.aspx 1 WrkStatLog.aspx 1 WrkSetlan.aspx 1 workpage.aspx 1 webform.aspx 1 viewpercthesaurus.aspx 1 tofollowup.aspx 1 Timeoutctl.aspx 1 timeout.aspx 1 tax.aspx 1 statistic.aspx 1 signproces.aspx 1 signon.aspx 1 ShowContents.aspx 1 resources.aspx 1 RegStructures.aspx 1 redirSuite.aspx 1 redireservice.aspx 1 RedirectCache.aspx 1 redirectcache.aspx 1 Redirect.aspx 1 QualityControl.aspx 1 owalogin.aspx 1 outlooktoken.aspx 1 outlookservice.aspx 1 outlooklogonservice.aspx 1 outlooklogon.aspx 1 outlookfilles.aspx 1 OutlookCName.aspx 1 MSGTypesValid.aspx 1 moveresults.aspx 1 logontimeout.aspx 1 logoff.aspx 1 jquery.aspx 1 index.aspx 1 handlerservice.aspx 1 global.aspx 1 GetTokenId.aspx 1 gettokenid.aspx 1 GetLoginToken.aspx 1 exppw.aspx 1 explainedit.aspx 1 expirepw.aspx 1 espw.aspx 1 erroref.aspx
Article Link: http://malwarenailed.blogspot.com/2020/01/apt34-webshell-filenames.html